Una de les filtracions més preocupants derivades de la recent publicació de WikiLeaks és la possibilitat que les organitzacions governamentals puguin comprometre WhatsApp, Telegram i altres aplicacions de xat encriptades de punta a punta. Tot i que això encara no s’ha demostrat, molts usuaris finals estan preocupats pel xifratge de punta a punta de WhatsApp i Telegram per garantir la privadesa de l’usuari. Aquest xifratge està dissenyat per garantir que només les persones que es comuniquen puguin llegir els missatges i ningú més.
Però aquest mateix mecanisme també ha estat l’origen d’una nova vulnerabilitat que hem descobert a les plataformes en línia de serveis de missatgeria WhatsApp Web i Telegram Web. La versió en línia d’aquestes plataformes reflecteix tots els missatges enviats i rebuts per l’usuari i estan totalment sincronitzats amb el dispositiu dels usuaris.
Aquesta vulnerabilitat, si s’explotés, hauria permès als atacants prendre completament els comptes dels usuaris en qualsevol navegador i accedir a les converses personals i de grup de les víctimes, fotos, vídeos i altres fitxers compartits, llistes de contactes i molt més. Això vol dir que els atacants podrien descarregar-se les fotos o publicar-les en línia, enviar missatges en nom vostre, exigir rescat i fins i tot fer-se càrrec dels comptes dels vostres amics.
Per tant, la propera vegada que algú us enviï una foto d’un gat bonic o un pollet calent a WhatsApp o Telegram, aneu amb compte abans de fer clic a la imatge per visualitzar-lo. Pot piratejar el vostre compte en qüestió de segons. Una empresa de seguretat informàtica va revelar dimecres un defecte que podria permetre als pirates informàtics entrar en comptes de missatgeria de WhatsApp o Telegram mitjançant el mateix xifratge destinat a protegir els missatges.
Detalls tècnics: WhatsApp
El mecanisme de fitxers de càrrega de WhatsApp admet diversos tipus de documents, com ara documents d’Office, PDF, fitxers d’àudio, vídeos i imatges. Cadascun dels tipus admesos es pot penjar i enviar als clients de WhatsApp com a fitxer adjunt.
No obstant això, l'equip d'investigació de Check Point ha aconseguit saltar-se les restriccions del mecanisme carregant un document HTML maliciós amb una previsualització legítima d'una imatge per enganyar a una víctima perquè faci clic al document per fer-se càrrec del seu compte. Un cop la víctima fa clic al document, el client web de WhatsApp utilitza la trucada API FileReader HTML 5 per generar un URL BLOB únic amb el contingut del fitxer enviat per l'atacant i, a continuació, navega per l'usuari fins a aquest URL.
Detalls tècnics - Telegram
Telegram admet múltiples tipus de documents que s’envien a l’aplicació web Telegram, però els únics tipus de documents d’imatge i vídeo s’emmagatzemen a la secció Sistema de fitxers del navegador.
Els investigadors de Check Point han aconseguit saltar-se la política de pujades de Telegram i penjar un document HTML maliciós amb un tipus MIME d’un fitxer de vídeo “video / mp4”. Després, van poder enviar-lo al costat de la víctima en un canal xifrat a través de servidors de telegrames. Un cop la víctima obri el vídeo en una nova pestanya del navegador, començarà a reproduir-se i les dades de la sessió dels usuaris s'enviaran a l'atacant.
Curiosament, és la funció de xifratge de punta a punta d’aquestes aplicacions que hauria ajudat els pirates informàtics a aprofitar l’error. Com que el contingut dels xats està xifrat de cap a extrem, significa que ni WhatsApp ni Telegram podrien veure el programari maliciós amagat en una imatge maliciosa compartida. Això significa que ambdues companyies estarien cegues amb el contingut, cosa que permetria passar codi maliciós entre els usuaris.
En endavant, el contingut es validarà abans del xifratge, explica Check Point, que bloquejaria els fitxers maliciosos. L’equip de Check Point també descriu un parell de mètodes per assegurar-vos que no sou víctimes d’aquestes pirates informàtiques.
Consells de seguretat del punt de control:
Tot i que WhatsApp i Telegram han corregit aquesta vulnerabilitat, com a pràctica general recomanem les mesures preventives següents:
1. Neteja periòdicament els equips registrats del WhatsApp i del Telegram. Això us permetrà controlar els dispositius que allotgen el vostre compte i aturar l’activitat no desitjada.
2. Eviteu obrir fitxers i enllaços sospitosos d’usuaris desconeguts.
Després de solucionar aquest error, el contingut de les versions web de WhatsApp i Telegram es validarà ara abans que entri en joc el xifratge de punta a punta, cosa que permet bloquejar els fitxers maliciosos.